Info om GDPR
Övergripande arbetsmetoder med GDPR
Det finns flera övergripande arbetsmetoder med GDPR som kan vara bra att känna till och utgå från.
En bra utgångspunkt är att involvera alla inom verksamheten
Det är bra att involvera alla inom verksamheten i arbetet med GDPR. Ledningen arbetar med GDPR på strategisk nivå, men det är medarbetarna som arbetar med GDPR i praktiken i sitt dagliga arbete. Därför kan medarbetarna ha mycket bra kompetens och kunskap i hur det går att förbättra och effektivisera dataskyddsarbetet. Dessutom kan det vara bra för arbetsmoralen, kreativiteten och arbetsmiljön att involvera medarbetarna och få dem att känna att de bidrar till förbättringar.
Några övergripande arbetsmetoder med GDPR
Arbeta agilt med GDPR
Det är bra att arbeta agilt med GDPR, för att enkelt kunna anpassa dataskyddsarbetet efter alla förändringar. Dessutom kan det göra det enklare att regelbundet förbättra arbetet och involvera medarbetarna i det, vilket bland annat kan öka kreativiteten. Enkelt förklarat är ett agilt arbetssätt när man arbetar i olika etapper mot en övergripande vision. Mellan etapperna finns det utrymme att analysera arbetet och att förbättra det inför nästa etapp. Det är viktigt att måla upp visionen för medarbetarna under arbetets gång, för att de ska kunna sträva efter att uppnå målbilden.
Processkartläggning
För att kunna skapa så effektiva och tydliga processer som möjligt, är det bra att börja med att göra en processkartläggning. Med andra ord, att medarbetarna går igenom hur de får tillgång till och behandlar personuppgifter i sitt dagliga arbete. Det är bra att göra detta i grupper, såsom varje avdelning, eftersom medarbetarna inom avdelningen brukar behandla samma typer av personuppgifter.
Exempel på vanliga behandlingar som sker dagligen inom företag:
Loggning och lagring av information om vilken medarbetare som använt sitt passerkort för åtkomst till arbetsplatsens lokaler.
Registrering av personuppgifter i samband med att IT-avdelningen skapar inloggningsuppgifter eller ger support till medarbetarna.
Insamling av registrerades användarnamn i sociala medier, i samband med att företaget tillhandahåller kundservice via sina sociala medier.
Registrering av arbetssökande inför rekryteringsprocessen, när personer skickar in arbetsansökningar till företaget.
5S-modellen
En bra utgångspunkt vid arbetet med GDPR är att utgå från den så kallade 5S-modellen. Det är en överskådlig modell som innehåller bra delar att genomföra i det praktiska arbetet för att följa GDPR.
Sortera dokument och avtal
Företag behöver vissa GDPR-relaterade avtal och dokument. Vilka exakt som behövs kräver en individuell bedömning. Det är bra att sortera dokumentationen, så att det är enkelt att hitta dem vid behov.
Systematisera arbetet
Det är bra att systematisera processen för hur medarbetare ska hitta nödvändig information. Exempelvis en mapp för interna rutiner, såsom hur företaget ska gå tillväga när en registrerad begär att få sina rättigheter tillgodosedda. Det är viktigt att tänka på att skapa en bra struktur för att effektivisera arbetet.
Städa bort onödiga personuppgifter
Företag ska radera personuppgifter när de inte längre är nödvändiga för syftet de blev insamlade för. Ett annat alternativ är att anonymisera dem. Det gäller allt från mejl som innehåller personuppgifter, samtalsloggar i telefonen till anteckningar och annat.
Standardisera
Förutom att det är viktigt att lära ut hur arbetet med GDPR ska skötas i praktiken, är det också bra att beskriva det skriftligt. Genom skriftliga policys, rutiner, mallar och checklistor kan dataskyddsarbetet standardiseras. Dessutom är det bra att ständigt försöka förbättra dataskyddsarbetet och att involvera medarbetarna i förbättringsarbetet.
Skapa goda vanor
För att medarbetarna ska följa GDPR i sitt dagliga arbete är det bra att skapa goda vanor. Det är positivt att låta medarbetarna ha ett inflytande i dataskyddsarbetet, eftersom det kan öka kreativiteten och motivationen samtidigt som de får en bättre förståelse. Dessutom är det bra att skapa vanor som är enkla att ändra, eftersom arbetet med GDPR sällan är statiskt.
Förbättringsarbete
Det är viktigt att alltid försöka förbättra arbetet med GDPR över tid. För att kunna göra det, är det bra att involvera alla i verksamheten som arbetar med frågor om GDPR i sina arbetsuppgifter. Genom att göra en processkartläggning och arbeta agilt, finns det goda chanser att upptäcka förbättringsmöjligheter och kunna utföra dem.
Dataskyddskultur inom företag
När man talar om dataskyddskulturen inom ett företag brukar det handla om normerna, värderingarna och attityderna som leder till hur medarbetarna inom ett företag agerar. Det är därför viktigt att ha kärnvärderingar, som inte ändras även fast arbetet utvecklas över tid. Företag bör sträva efter att bygga en stark dataskyddskultur som utgör en del av hela organisationskulturen.
Lärande i centrum inom dataskyddskulturen
GDPR är ett omfattande regelverk och det kan finnas mycket att behöva hålla reda på. Detta gäller speciellt för större företag med många medarbetare fördelade på olika avdelningar som behandlar mycket personuppgifter. Det är positivt att ha lärande i centrum inom dataskyddskulturen, för att kunna ge medarbetarna bästa möjligheterna att följa GDPR i praktiken.
Mer info om GDPR
Organisatoriska åtgärder som företaget kan vidta för att följa GDPR
Företag måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna som behandlas och för att uppfylla de övriga reglerna i GDPR. Exempelvis att kunna tillgodose de registrerades rättigheter. Några vanliga exempel på organisatoriska säkerhetsåtgärder är upprättande av interna rutiner, implementering av behörighetsstyrning, utbildning av personalen och utförande av konsekvensbedömningar.